Egregor: Erpresser-Botschaft am Kassenzettel

19. November, 2020

Erpresser-Botschaft am KassenzettelCencosud, eine der größten Einzelhandelskette in Südamerika, wurde vor kurzem recht publikumswirksam zum Opfer einer Ransomware-Kampagne. Die Angreifer fordern ein Lösegeld in Millionenhöhe – und drucken diese Botschaft auch über die Kassendrucker in den Geschäften! In vielen Geschäften der Kette ist „wegen technischer Probleme“ kein oder nur noch ein eingeschränkter Geschäftsbetrieb möglich.

Geschäftsmodell „Ransomware as a Service“

Die Attacke kann Egregor zugeordnet werden, dem operativen Nachfolger der Maze-Ransomware. Der Ransomware-as-a-Service-Dienst tritt seit September 2020 in Erscheinung. Eine Besonderheit dabei ist, dass die Information über die Geiselnahme der Daten und Lösegeldforderungen auf allen angeschlossenen Druckern ausgegeben wird.

Darüber hinaus folgt Egregor bekannten Pfaden: Firmennetzwerke werden gekapert, sensible Informationen gestohlen, Daten verschlüsselt, Lösegelder gefordert und, sollte nicht (pünktlich) bezahlt werden, gestohlene Daten im Internet veröffentlicht. [1]

Konzerne, KMU, Privatpersonen – alle sind Ziel der Erpresser

Ransomware-Attacken laufen mittlerweile hoch automatisiert ab und nutzen meist sehr aktuelle Schwachstellen der Zielsysteme aus. Nicht nur große Unternehmen, auch KMU und Privatpersonen sind Ziel der Angriffe und verlieren dabei Daten und Geld.

Oft stehen Unternehmen vor Millionenschweren Lösegeldforderungen. Die Optionen sind ernüchternd: entweder bezahlen und hoffen, dass die versprochene Wiederherstellung funktioniert –  oder die Daten verlieren und alle Systeme neu aufbauen.

Inzwischen werden nicht nur mehr bloß Daten verschlüsselt, sondern diese vorab an die Angreifer übermittelt. Die Drohung, sensible Daten zu veröffentlichen, soll den Druck erhöhen und mehr Opfer zur Zahlung bewegen. Da es sich bei solchen Erpressungen um Cyber-Angriffe von organisierten Kriminellen handelt, raten viele Behörden, z.B. das Deutsche Bundesamt für Sicherheit in der Informationstechnik, nachdrücklich von der Zahlung ab. [2]

Die einzige immer wirksame Gegenmaßnahme sind Offline-Backups, bei denen die Daten von den Angreifern nicht erreicht werden können. Im einfachsten Fall hilft schon eine externe USB-Festplatte, die nur zur Datensicherung angesteckt wird.

Linktipp:

Backup-Strategie vom Security-Experten


[1] https://www.bleepingcomputer.com/news/security/retail-giant-cencosud-hit-by-egregor-ransomware-attack-stores-impacted/, https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf

ransomware
IT-/OT-Konvergenz: von der Theorie in die Praxis
Defense in Depth
private
Qlocker 01

Ransomware Qlocker: So stellen Sie Ihre Daten (großteils) wieder her

Zwei österreichische Sicherheitsexperten analysierten die von den Hackern verwendete Methode und stellten fest, dass sie einen Fehler gemacht hatten.
Fax
malicious-code
Beat The Best
Microsoft Exchange
Image